[Black Hat Asia 2016] DSCompromised: โจมตี Windows ผ่านทาง Desired State Configuration

black_hat_2016_logo

ภายในงาน Black Hat Asia 2016 ที่เพิ่งจัดไปเมื่อปลายเดือนมีนาคมที่ผ่านมา Matt Hastings และ Ryan Kazanciyan สองผู้เชี่ยวชาญด้าน Incident-response และ Forensic จาก Tanium ได้แสดงวิธีการใช้ Windows Desired State Configuration (DSC) เพื่อบุกรุกโจมตีคอมพิวเตอร์ ได้แก่ การลอบส่งมัลแวร์เข้ามารันบนเครื่อง และการลอบสร้าง Rogue Account

black_hat_dscompromised_3

Desired State Configuration (DSC) คืออะไร

Windows DSC เป็นเครื่องมือสำหรับบริหารจัดการการตั้งค่าต่างๆ บน Windows แบบ Next-generation ผ่านการเรียกใช้ไฟล์ Managed Object Format (MOF) มาตรฐาน โดยที่ไม่จำเป็นต้องมีการติดตั้ง Active Directory ลงบนระบบคอมพิวเตอร์ Windows DSC ซึ่งเป็นส่วนต่อขยาย (Extension) ของ PowerShell ที่ถูกติดตั้งมาพร้อมกับ Windows 8.1 และ Windows Server 2012 R2 โดยมีคุณสมบัติเด่น ดังนี้

  • ดาวน์โหลดและสร้างไฟล์และไดเร็คทอรี่ได้
  • รันการทำงานของ Process ต่างๆ
  • รันสคริปต์
  • สร้าง User และกำหนดกลุ่มให้ User นั้นๆ
  • ควบคุม Services บน Windows
  • บริหารจัดการ Registry Keys และ Values
  • ติดตั้งซอฟต์แวร์

black_hat_dscompromised_1

DSCompromised: กรอบการทำงานสำหรับโจมตี Windows ผ่านทาง DSC

Hastings และ Kazanciyan ได้ทำการพัฒนา DSCompromised ซึ่งเป็นกรอบการทำงานที่ใช้โมดูลและสคริปต์ของ PowerShell สำหรับลอบโจมตีเครื่อง Windows โดยที่ผู้ดูแลระบบไม่รู้ตัว กรอบการทำงานนี้ใช้โหมด Pull ของ DSC ซึ่ง Client จะเป็นผู้ส่ง HTTPS Request ออกไปเพื่อดาวน์โหลดมัลแวร์จาก C2 Server มาติดตั้ง โดย C2 Server ดังกล่าวเป็นเซิร์ฟเวอร์ที่รัน DSC ซึ่งจะอยู่บนระบบเครือข่ายหรือระบบอินเทอร์เน็ตก็ได้

black_hat_dscompromised_2
แผนภาพแสดงการทำงานของ DSCompromised Framework

จุดเด่นของการโจมตีผ่านทาง DSC คือ มีกลไกการทำงานที่ยืดหยุ่น ระบบรักษาความปลอดภัยทั่วไปไม่สามารถตรวจจับได้ และจะทำการดาวน์โหลดมัลแวร์มาติดตั้งใหม่เรื่อยๆ ในกรณีที่มัลแวร์ถูกคลีนออกไป อย่างไรก็ตาม กรอบการทำงานนี้ก็มีข้อจำกัด คือ จำเป็นต้องติดตั้ง PowerShell และ DSC ลงบนเครื่อง Windows (เหยื่อ) และเซิร์ฟเวอร์ที่ทำหน้าที่เป็น DSC Pull Server รวมทั้งต้องแฮ็คเข้าเครื่องของเหยื่อและมีสิทธิ์เป็น Admin เรียบร้อยแล้ว

นอกจากจะทำให้เครื่อง Windows ของเหยื่อลอบดาวน์โหลดมัลแวร์มาติดตั้งแล้ว ยังสามารถสั่งให้สร้าง User Account ขึ้นมาได้อีกด้วย และเช่นเดียวกัน ถ้า User Account ดังกล่าวถูกลบ มันจะถูกสร้างขึ้นมาใหม่ และถูกเพิ่มเข้าไปในกลุ่มของ User ตามเดิมโดยอัตโนมัติ ที่สำคัญคือ สามารถใช้ DSC ในการลอบส่ง Ransomware เข้าเครื่องของเหยื่อได้เช่นเดียวกัน

“ถ้าไม่จัดการคลีนทุกอย่างให้เรียบร้อย DSC จะทำการแพร่มัลแวร์มาที่เครื่องของเหยื่อใหม่โดยอัตโนมัติ โดยที่เหยื่อไม่รู้ตัว ทางเดียวที่จะแก้ปัญหาได้คือต้องคลีนมัลแวร์ คลีน User แล้วก็ยกเลิกการติดตั้ง DSC ไปด้วย” — Kazanciyan อธิบาย

ผู้ที่สนใจ DSCompromised Framework สามารถดาวน์โหลดมาลองได้ผ่านทาง GitHub


About techtalkthai

ทีมงาน TechTalkThai เป็นกลุ่มบุคคลที่ทำงานในสาย Enterprise IT ที่มีความเชี่ยวชาญทางด้าน Network, Security, Server, Storage, Operating System และ Virtualization มารวมตัวกันเพื่ออัพเดตข่าวสารทางด้าน Enterprise IT ให้แก่ชาว IT ในไทยโดยเฉพาะ

Check Also

[Infographic] Modular Chassis Data Center Switch แรงแค่ไหน ฉบับ 2019-06

พอดีช่วงนี้ทีมงาน TechTalkThai มีงานที่ต้องทำเกี่ยวกับตลาด Data Center Switch ครับ เลยขอถือโอกาสมานั่งอัปเดตเทคโนโลยีและสรุปภาพรวมกันเล็กน้อยว่าเทคโนโลยีในส่วนนี้ไปถึงไหนกันแล้วใน Infographic อันนี้ครับ

Cisco เปิดตัว Firepower 1000 Series เสริมความมั่นคงปลอดภัยแก่ SMB

ภายในงาน Cisco Live US ที่เพิ่งจัดไปเมื่อสัปดาห์ที่ผ่าน Cisco ได้ประกาศเปิดตัว Firepower 1000 Series ซึ่งเป็น Threat-focused Next-generation Firewall รุ่นใหม่ …